.png){kind=logo}
Muchos coinciden en que proteger el directorio Activo es muy importante para la seguridad de las empresas. Y probablemente pensamos que lo protegemos adecuadamente. Sin embargo, sólo el 6% de las organizaciones realmente ha tomado medidas para hacerlo efectivamente.
Sin duda el directorio activo juega un papel crucial dentro de nuestra red, contiene información sensible y una vez comprometido, los intrusos pueden moverse sin ser detectados o escalar sus privilegios.
Por esta razón el directorio activo debe ser protegido y administrado de manera muy cuidadosa:
Otorgue el menor privilegio de acceso posible:
Fácil de decir, un poco más difícil de implementar. El concepto consiste en otorgar a los usuarios sólo el acceso que ellos realmente necesitan para llevar a cabo su trabajo.
Realice una auditoría de permisos efectivos sobre sus recursos.
Utilice una herramienta de auditoría que le permita generar reportes completos y posteriormente realice la limpieza o depuración de usuarios y permisos innecesarios.
No olvide las cuentas de servicio, es decir aquellas que se utilizan para subir servicios de aplicativos o sistema operativo.
Ponga a prueba su Directorio Activo
Otra interesante forma de atacar el problema es utilizar un software que identifique las vulnerabilidades de su directorio activo, malas configuraciones y eventual malware o backdoors presentes en su sistema.
Monitoree el directorio Activo
Es capaz usted de responder a la pregunta ¿Quien hizo,, Qué, Cuando y Donde?.
En múltiples ocasiones nos encontramos con que los log de auditoría de Windows están apagados, para ahorrar espacio, me refiero a los logs que guardan el registro acceso a los archivos.
Normalmente este hallazgo se realiza después de que desaparecen los archivos de un recurso compartido y todos se preguntan ¿Quién los eliminó?.
Monitorear los Logins fallidos en tiempo real, nos otorga indicadores certeros de intentos de intrusión. Todo lo relativo al directorio activo debe ser monitoreado, y esto incluye los logs de seguridad.
Contraseñas
No prestamos la suficiente atención a las contraseñas, estas se olvidan, se comparten, se reutilizan en múltiples sitios, generan gran cantidad de soporte y hacen muy frágiles la seguridad de todos los sistemas, especialmente aquellos sistemas de nube o SaaS que dependen casi exclusivamente de la contraseña para brindar acceso a la información crítica que contienen.
Un sistema de recuperación automática de contraseña facilita la vida de los usuarios y también de la mesa de ayuda que podrá concentrarse en labores que aporten más valor.
Muchos de los ataques están basados en la contraseña y en el directorio activo. Los controles sobre esta área deben estar en su lista corta de chequeo, o en lo que llamamos los controles esenciales.
Según Harpreet Singh en artículo de Pentest Magazine hablaba del top 10 de los ataques más comunes al Directorio Activo
Escenarios de Ataques al Directorio Activo
Envenenamiento LLMNR
Ataque de relay SMB
DNS Takeover
Buscar credenciales en Internet
Pass-the-Hash y Pass-the-Password
Kerberoasting
BloodHound
Ataque MS14-025
Ataque Golden Ticket
¿Cómo mitigar los ataques al Directorio Activo?
Mantener parcheados los sistemas y los controladores de dominio.
Establecer políticas de contraseñas seguras (complejidad, historial, caducidad), incluso para cuentas de servicio y cuentas de invitados
Asegurarse de no proporcionar la contraseña predeterminada a ningún usuario; la contraseña predeterminada también debe cambiarla.
Educar a los usuarios y administradores para que sigan la política de seguridad de contraseñas.
No utilizar cuentas administrativas para actividades no privilegiadas.
No utilizar cuentas de administrador de dominio para iniciar sesión en sistemas que no sean de confianza.
Deshabilitar el uso de LLMNR, NBT-NS y GPP.
Habilitar la firma SMB, siempre que sea posible.
Evita un ataque cibernético que vulnere la seguridad informática de tu empresa, nosotros te podemos ayudar, solicita una demo gratuita